本發明涉及一種進程行為溯源裝置，該進程行為溯源裝置包括進程網絡信息追蹤模塊、進程網絡信息處理模塊、進程資源行為追蹤模塊、網絡歸并模塊以及行為運算模塊。本發明還涉及一種進程行為溯源方法。本發明能夠針對操作系統狀態進行全方位監控，并對自主、非自主的網絡行為進行安全審計，從進程行為角度提供細粒度的分析，為計算環境整體安全態勢提供數據支持。

技術領域

本發明總體涉及網絡安全技術領域。具體地，本發明涉及進程行為溯源裝置和方法。更具體地,本發明涉及通過對進程的網絡行為進行分析,對進程的資源行為進行分析,關聯追蹤進程的網絡行為和進程的資源行為來對進程行為溯源的裝置和方法。

背景技術

現有網絡安全技術是指網絡系統的硬件、軟件及其系統中的數據能夠受到保護，不會因為偶然原因或惡意原因而遭受破壞、更改、泄露，系統能連續可靠正常地運行，網絡服務不中斷。

當前的網絡安全防護產品主要分為如下兩大類：邊界安全產品和主機安全產品。

邊界安全產品主要包括如下幾種：

第一，防火墻系統，防火墻系統可以根據IP地址或服務端口過濾數據包。然而，防火墻系統對于利用合法IP地址和端口所從事的破壞活動則無能為力，這是因為防火墻極少深入數據包檢查內容。中國絕大多數企業都在采用網絡版殺毒軟件+防火墻的方式來保護企業的網絡正常運行。網絡版殺毒軟件是部署在企業網絡內部且進行統一集中管理的一套殺毒軟件。它可以對企業內部的病毒進行查殺，能夠在一定程度上保證企業網絡系統的安全，但仍然存在很大的局限性。

第二，入侵防御系統(Intrusion Prevention System，IPS)，入侵防御系統是電腦網絡安全設施，是對防病毒軟件和防火墻的補充。入侵防御系統是一部能夠監視網絡或網絡設備的網絡資料傳輸行為的計算機網絡安全設備，能夠即時地中斷、調整或隔離一些不正?；蚴蔷哂袀π缘木W絡資料傳輸行為。

入侵防御系統作為入侵偵查系統和入侵響應系統二者的進一步發展，汲取了二者的長處。

入侵偵查系統(Intrusion Detection System，IDS)在發現異常情況后及時向網絡安全管理人員或防火墻系統發出警報。在ISO/OSI網絡層次模型中，防火墻主要在第二到第四層起作用，它的作用在第四到第七層一般很微弱，而防病毒軟件、防毒墻主要在第五到第七層起作用。為了彌補防火墻和防病毒軟件、防毒墻二者在第四到第五層之間留下的空檔，工業界投入使用入侵偵查系統。

盡管入侵偵查系統可以減少災害，但是這時災害往往已經形成。防御機制最好的是應該在危害形成之前先期起作用，因此入侵響應系統應運而生。作為對入侵偵查系統的補充，入侵響應系統能夠在發現入侵時，迅速作出反應，并自動采取阻止措施。

入侵防御系統也像入侵偵查系統一樣，專門深入網絡數據內部，查找它所認識的攻擊代碼特征，過濾有害數據流，丟棄有害數據包，并進行記載，以便事后分析。除此之外，更重要的是，大多數入侵防御系統同時結合考慮應用程序或網路傳輸中的異常情況，來輔助識別入侵和攻擊。比如，用戶或用戶程序違反安全條例、數據包在不應該出現的時段出現、作業系統或應用程序弱點的空子正在被利用等現象。入侵防御系統雖然也考慮已知病毒特征，但是它并不僅僅依賴于已知病毒特征。

應用于邊界的防火墻及防病毒系統、入侵防御系統等可在網絡邊界及時識別攻擊程序或有害代碼及其克隆和變種，采取預防措施，先期阻止入侵，防患于未然,或者至少使其危害性充分降低。在必要時，它還可以為追究攻擊者的刑事責任而提供法律上有效的證據。

主機安全產品主要包括如下幾種：防病毒軟件、終端管理軟件及操作系統加固軟件等。

第一，防病毒軟件作為一種計算機程序，可進行檢測、防護，并采取行動來解除或刪除惡意軟件程序，如病毒和蠕蟲。